Yüzüme vurma:Mandrake, Android mobil ekosisteminde tekrarlayan bir siber tehdittir. Araştırmacılar birkaç yıl önce Mandrake ile enfekte olmuş uygulamaları keşfettiler ve kötü amaçlı yazılım şimdi en son güvenlik korumalarını atlatmak için tasarlanmış daha da karmaşık tekniklerle geri döndü.
Mandrake kötü amaçlı yazılım ailesi ilk olarak 2020 yılında Bitdefender tarafından keşfedildi. Rumen siber güvenlik şirketi tehdidi iki büyük enfeksiyon dalgasında tespit etti, ilk olarak 2016-2017’de Google Play’de indirilebilen sahte uygulamalarda ve tekrar 2018-2020’de. Mandrake’in en dikkat çekici özelliği, Google’ın radarının altında uçup dört yıl içinde “yüz binlerce” olduğu tahmin edilen çok sayıda kullanıcıyı enfekte edebilmesiydi.
Mandrake enfeksiyonlarının ilk dalgaları, varlıklarını gizlemek için çeşitli hileler kullandı. Kötü amaçlı yazılım, son kötü amaçlı yükünü belirli, oldukça hedefli kurbanlara ulaştırmak üzere tasarlanmıştı ve hatta bir cihazdan enfeksiyonun tüm izlerini silebilen bir “seppuku” öldürme anahtarı bile içeriyordu.
Mandrake kötü amaçlı yazılımını gizleyen sahte uygulamalar, finans, otomotiv, görüntü oynatıcıları ve diğer popüler uygulama türleri gibi kategorilerde tam işlevli “sahte” uygulamalardı. Siber suçlular veya muhtemelen görev için işe alınan üçüncü taraf geliştiriciler, Play Store’un yorum bölümünde kullanıcılar tarafından bildirilen hataları hızla düzeltti. Ek olarak, TLS sertifikaları kötü amaçlı yazılım ile komuta ve kontrol (C&C) sunucuları arasındaki iletişimleri gizlemek için kullanıldı.
İlk kurbanlarını aldıktan sonra, Mandrake kötü amaçlı yazılım ailesi Android ekosisteminden kaybolmuş gibi görünüyordu. Şimdi, Kaspersky eskisinden daha zor tespit edilen ve analiz edilen yeni bir virüslü uygulama dalgası keşfetti. Bu “yeni nesil”, analizi engellemek ve Google’ın tarama algoritmalarını atlatmak için çeşitli kod karartma katmanları kullanıyor ve sandbox tabanlı analiz tekniklerine karşı belirli karşı önlemler alıyor.
Kaspersky, Mandrake yazarlarının müthiş kodlama becerilerine sahip olduğunu ve bu nedenle kötü amaçlı yazılımın tespit edilip incelenmesinin daha da zor olduğunu belirtti. Rus güvenlik firmasına göre Mandrake içeren en son uygulama 15 Mart’ta güncellendi ve aynı ayın sonunda uygulama mağazasından kaldırıldı. Ne Google ne de üçüncü taraf şirketler bu yeni uygulamaları kötü amaçlı olarak işaretleyemedi.
Bu son aldatmaca uygulamaları dalgasına rağmen, Mandrake’in birincil amacı değişmemiş gibi görünüyor. Kötü amaçlı yazılım, bir telefonun ekranında neler olduğunu kaydederek ve bu kayıtları C&C sunucularına göndererek kullanıcıların kimlik bilgilerini çalmak üzere tasarlanmıştır. Ayrıca ek kötü amaçlı yükleri indirip yürütme yeteneğine de sahiptir.
Kaspersky, Mandrake yazarları ve amaçları hakkında daha fazla bilgi veya spekülasyon sağlamadı. Şirket, Google’ın sonunda Play Store’dan kaldırdığı kötü amaçlı yazılımı taşıyan beş farklı uygulama tespit etti.